Share via

Kurz: Konfigurace jednotného přihlašování mezi Microsoft Entra ID a F5 BIG-IP Easy Button pro jednotné přihlašování založené na hlavičce

  • Článek

V tomto kurzu se dozvíte, jak integrovat F5 s Microsoft Entra ID. Když integrujete F5 s Microsoft Entra ID, můžete:

  • Řízení v Microsoft Entra ID, který má přístup k F5.
  • Povolte uživatelům, aby se k F5 automaticky přihlásili pomocí svých účtů Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Poznámka:

F5 BIG-IP APM Koupit nyní.

Popis scénáře

Tento scénář se podívá na klasickou starší aplikaci používající autorizační hlavičky HTTP ke správě přístupu k chráněnému obsahu.

Starší verze aplikace nemá moderní protokoly pro podporu přímé integrace s Microsoft Entra ID. Aplikaci je možné modernizovat, ale je nákladná, vyžaduje pečlivé plánování a představuje riziko potenciálního výpadku. Místo toho se používá F5 BIG-IP Application Delivery Controller (ADC) k přemístit mezeru mezi starší aplikací a moderní řídicí rovinou ID prostřednictvím přechodu protokolu.

Když před aplikací máme BIG-IP adresu, můžeme službu překryt pomocí předběžného ověřování a jednotného přihlašování založeného na Microsoft Entra, což výrazně zlepšuje celkový stav zabezpečení aplikace.

Poznámka:

Organizace mohou také získat vzdálený přístup k tomuto typu aplikace pomocí proxy aplikací Microsoft Entra.

Architektura scénáře

Řešení SHA pro tento scénář se skládá z:

Aplikace: Publikovaná služba BIG-IP, která má být chráněna společností Microsoft Entra SHA.

Microsoft Entra ID: Zprostředkovatel identity SAML (Security Assertion Markup Language) zodpovědný za ověření přihlašovacích údajů uživatele, podmíněného přístupu a jednotného přihlašování založeného na SAML na BIG-IP. Prostřednictvím jednotného přihlašování poskytuje Microsoft Entra ID BIG-IP všechny požadované atributy relace.

BIG-IP: Reverzní proxy server a poskytovatel služby SAML (SP) do aplikace, delegování ověřování na zprostředkovatele IDENTITY SAML před provedením jednotného přihlašování založeného na hlavičce do back-endové aplikace.

Sha pro tento scénář podporuje toky iniciované sadou SP i IdP. Následující obrázek znázorňuje tok iniciovaný aktualizací SP.

Screenshot of Secure hybrid access - SP initiated flow.

Kroky Popis
1 Uživatel se připojí ke koncovému bodu aplikace (BIG-IP).
2 Zásady přístupu APM BIG-IP přesměrují uživatele na Microsoft Entra ID (SAML IdP).
3 Microsoft Entra ID předem ověří uživatele a použije všechny vynucené zásady podmíněného přístupu.
4 Uživatel se přesměruje na BIG-IP (SAML SP) a jednotné přihlašování se provádí pomocí vydaného tokenu SAML.
5 BIG-IP vloží atributy Microsoft Entra jako hlavičky v požadavku na aplikaci.
6 Aplikace autorizuje požadavek a vrací datovou část.

Požadavky

Předchozí prostředí BIG-IP není nutné, ale budete potřebovat:

Metody konfigurace BIG-IP

Pro tento scénář existuje mnoho metod konfigurace BIG-IP, včetně dvou možností založených na šablonách a pokročilé konfigurace. Tento kurz se zabývá nejnovější konfigurací s asistencí 16.1, která nabízí šablonu snadného tlačítka. Díky snadnému tlačítku se správci už nebudou mezi Microsoft Entra ID a BIG-IP pustit do služeb PRO SHA. Správa nasazení a zásad se zpracovává přímo mezi průvodcem konfigurací S asistencí APM a Microsoft Graphem. Tato bohatá integrace mezi BIG-IP APM a Microsoft Entra ID zajišťuje, že aplikace můžou rychle, snadno podporovat federaci identit, jednotné přihlašování a podmíněný přístup Microsoft Entra a snížit režijní náklady na správu.

Poznámka:

Všechny příklady řetězců nebo hodnot odkazovaných v tomto průvodci by měly být nahrazeny hodnotami pro vaše skutečné prostředí.

Tlačítko Registrovat snadné

Aby mohl klient nebo služba přistupovat k Microsoft Graphu, musí být důvěryhodná platformou Microsoft Identity Platform.

Tento první krok vytvoří registraci aplikace tenanta, která se použije k autorizaci přístupu ke službě Graph pomocí tlačítka Easy Button . Prostřednictvím těchto oprávnění bude moct BIG-IP odesílat konfigurace potřebné k navázání vztahu důvěryhodnosti mezi instancí SAML SP pro publikovanou aplikaci a ID Microsoft Entra jako zprostředkovatele identity SAML.

  1. Přihlaste se k webu Azure Portal pomocí účtu s Správa istrativními právy aplikace.

  2. V levém navigačním podokně vyberte službu Microsoft Entra ID .

  3. V části Spravovat vyberte Registrace aplikací> Nová registrace.

  4. Zadejte zobrazovaný název aplikace, například F5 BIG-IP Easy Button.

  5. Určete, kdo může používat účty aplikace >pouze v tomto organizačním adresáři.

  6. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.

  7. Přejděte na oprávnění rozhraní API a autorizujete následující oprávnění aplikace Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Directory.Read.All
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Policy.Read.All
    • Policy.ReadWrite.ApplicationConfiguration
    • Policy.ReadWrite.ConditionalAccess
    • User.Read.All

  8. Udělte správci souhlas pro vaši organizaci.

  9. V okně Certifikáty a tajné kódy vygenerujte nový tajný klíč klienta a poznamenejte si ho.

  10. V okně Přehled si poznamenejte ID klienta a ID tenanta.

Konfigurovat tlačítko Snadné

Spuštěním šablony snadného tlačítka spusťte konfiguraci APM s asistencí.

  1. Přejděte do části Přístup s asistencí konfigurace > Microsoft Integration a vyberte Aplikaci Microsoft Entra>.

    Screenshot for Configure Easy Button- Install the template.

  2. Zkontrolujte seznam kroků konfigurace a vyberte Další.

    Screenshot for Configure Easy Button - List configuration steps.

  3. Postupujte podle posloupnosti kroků potřebných k publikování aplikace.

    Screenshot of Configuration steps flow.

Vlastnosti konfigurace

Karta Vlastnosti konfigurace vytvoří konfiguraci aplikace BIG-IP a objekt jednotného přihlašování. Zvažte část Podrobnosti účtu služby Azure, která představuje klienta, který jste zaregistrovali v tenantovi Microsoft Entra dříve, jako aplikaci. Tato nastavení umožňují klientovi OAuth velké IP adresy registrovat jednotlivě SAML SP přímo ve vašem tenantovi spolu s vlastnostmi jednotného přihlašování, které byste normálně nakonfigurovali ručně. Snadné tlačítko to dělá pro každou službu BIG-IP publikovanou a povolenou pro SHA.

Některá z těchto nastavení jsou globální, takže je možné znovu použít k publikování dalších aplikací, což dále zkracuje dobu nasazení a úsilí.

  1. Zadejte jedinečný název konfigurace, aby správci mohli snadno rozlišit mezi konfiguracemi snadného tlačítka.

  2. Povolte hlavičky jednotného přihlašování a HTTP.

  3. Zadejte ID tenanta, ID klienta a tajný klíč klienta, které jste si poznamenali při registraci klienta Snadné tlačítko ve vašem tenantovi.

  4. Potvrďte, že se big-IP adresa může úspěšně připojit k vašemu tenantovi, a pak vyberte Další.

    Screenshot for Configuration General and Service Account properties.

Poskytovatel služeb

Nastavení zprostředkovatele služeb definuje vlastnosti instance SAML SP aplikace chráněné pomocí SHA.

  1. Zadejte hostitele. Toto je veřejný plně kvalifikovaný název domény aplikace, která je zabezpečená.

  2. Zadejte ID entity. Toto je identifikátor Microsoft Entra ID, který bude používat k identifikaci SAML SP žádajícího o token.

    Screenshot for Service Provider settings.

    Volitelná Nastavení zabezpečení určuje, jestli má id Microsoft Entra šifrovat vystavené kontrolní výrazy SAML. Šifrování kontrolních výrazů mezi Microsoft Entra ID a BIG-IP APM poskytuje další záruku, že tokeny obsahu nelze zachytit a osobní nebo podniková data být ohrožena.

  3. V seznamu privátních klíčů kontrolního dešifrování vyberte Vytvořit nový.

    Screenshot for Configure Easy Button- Create New import.

  4. Vyberte OK. Otevře se dialogové okno Importovat certifikát SSL a klíče na nové kartě.

  5. Vyberte PKCS 12 (IIS) a importujte certifikát a privátní klíč. Po zřízení zavřete kartu prohlížeče, abyste se vrátili na hlavní kartu.

    Screenshot for Configure Easy Button- Import new cert.

  6. Zkontrolujte povolení šifrovaného kontrolního výrazu.

  7. Pokud jste povolili šifrování, vyberte certifikát ze seznamu privátních klíčů kontrolního dešifrování. Jedná se o privátní klíč certifikátu, který big-IP APM použije k dešifrování kontrolních výrazů Microsoft Entra.

  8. Pokud jste povolili šifrování, vyberte certifikát ze seznamu certifikátu kontrolního dešifrování. Toto je certifikát, který big-IP adresa nahraje do Microsoft Entra ID pro šifrování vydaných kontrolních výrazů SAML.

Screenshot for Service Provider security settings.

Microsoft Entra ID

Tato část definuje všechny vlastnosti, které byste normálně použili k ruční konfiguraci nové aplikace SAML BIG-IP v rámci vašeho tenanta Microsoft Entra. Easy Button poskytuje sadu předdefinovaných šablon aplikací pro Oracle Lidé Soft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP a také obecnou šablonu SHA pro všechny ostatní aplikace. V tomto scénáři vyberte F5 BIG-IP APM – Přidání integrace > Azure AD.

Screenshot for Azure configuration add BIG-IP application.

Konfigurace Azure

  1. Zadejte zobrazovaný název aplikace, kterou big-IP adresa vytvoří ve vašem tenantovi Microsoft Entra, a ikonu, kterou uživatelé uvidí na portálu MyApps.

  2. Nezadávejte nic do přihlašovací adresy URL (volitelné) a povolte přihlášení iniciované adresou IDP.

    Screenshot for Azure configuration add display info.

  3. Vyberte ikonu aktualizace vedle podpisového klíče a podpisového certifikátu a vyhledejte certifikát, který jste naimportovali dříve.

  4. Do hesla podpisového klíče zadejte heslo certifikátu.

  5. Povolit možnost podepisování (volitelné). Tím se zajistí, že BIG-IP přijímá pouze tokeny a deklarace identity podepsané id Microsoft Entra.

    Screenshot for Azure configuration - Add signing certificates info.

  6. Skupiny uživatelů a uživatelů se dynamicky dotazují z vašeho tenanta Microsoft Entra a používají se k autorizaci přístupu k aplikaci. Přidejte uživatele nebo skupinu, které můžete později použít k testování, jinak bude veškerý přístup odepřen.

    Screenshot for Azure configuration - Add users and groups.

Atributy a deklarace identity uživatelů

Když se uživatel úspěšně ověří, Microsoft Entra ID vydá token SAML s výchozí sadou deklarací identity a atributů, které uživatele jednoznačně identifikují. Na kartě Atributy uživatele a deklarace identity se zobrazují výchozí deklarace identity, které se mají v nové aplikaci vydat. Umožňuje také nakonfigurovat další deklarace identity.

V tomto příkladu můžete zahrnout jeden další atribut:

  1. Zadejte název záhlaví jako employeeid.

  2. Zadejte atribut Source jako user.employeeid.

    Screenshot for user attributes and claims.

Další atributy uživatele

Na kartě Další atributy uživatele můžete povolit rozšíření relací vyžadované různými distribuovanými systémy, jako jsou Oracle, SAP a další implementace založené na javě, které vyžadují atributy uložené v jiných adresářích. Atributy načtené ze zdroje LDAP se pak dají vkládat jako další hlavičky jednotného přihlašování, aby bylo možné dále řídit přístup na základě rolí, ID partnerů atd.

Screenshot for additional user attributes.

Poznámka:

Tato funkce nemá žádnou korelaci s ID Microsoft Entra, ale je dalším zdrojem atributů. 

Zásady podmíněného přístupu

Zásady podmíněného přístupu se vynucují po předběžném ověřování Microsoft Entra, které řídí přístup na základě zařízení, aplikace, umístění a rizikových signálů.

Zobrazení Dostupných zásad ve výchozím nastavení zobrazí seznam všech zásad podmíněného přístupu, které neobsahují akce založené na uživatelích.

Ve výchozím nastavení se v zobrazení Vybrané zásady zobrazují všechny zásady, které cílí na všechny cloudové aplikace. Tyto zásady nelze zrušit nebo přesunout do seznamu Dostupných zásad, protože se vynucují na úrovni tenanta.

Pokud chcete vybrat zásadu, kterou chcete použít pro publikovanou aplikaci:

  1. V seznamu Dostupných zásad vyberte požadovanou zásadu.
  2. Vyberte šipku doprava a přesuňte ji do seznamu Vybrané zásady .

Vybrané zásady by měly mít zaškrtnutou možnost Zahrnout nebo Vyloučit . Pokud jsou zaškrtnuté obě možnosti, nevynucuje se vybraná zásada.

Screenshot for Conditional Access policies.

Poznámka:

Seznam zásad se vypíše jenom jednou při prvním přepnutí na tuto kartu. K dispozici je tlačítko aktualizace, které ručně vynutí, aby průvodce dotazoval vašeho tenanta, ale toto tlačítko se zobrazí jenom v případě, že je aplikace nasazená.

Vlastnosti virtuálního serveru

Virtuální server je objekt roviny dat BIG-IP reprezentovaný virtuální IP adresou, která naslouchá žádostem klientů do aplikace. Veškerý přijatý provoz se zpracovává a vyhodnocuje vůči profilu APM přidruženému k virtuálnímu serveru před tím, než se směruje podle výsledků a nastavení zásad.

  1. Zadejte cílovou adresu. Toto je jakákoli dostupná adresa IPv4/IPv6, kterou může BIG-IP použít k příjmu provozu klientů. V DNS by měl existovat také odpovídající záznam, který klientům umožňuje přeložit externí adresu URL publikované aplikace BIG-IP na tuto IP adresu místo samotné aplikace. Použití DNS místního hostitele testovacího počítače je pro testování v pořádku.

  2. Zadejte port služby jako 443 pro HTTPS.

  3. Zaškrtněte políčko Povolit port přesměrování a pak zadejte Port přesměrování. Přesměruje příchozí provoz klienta HTTP na HTTPS.

  4. Profil SSL klienta povolí virtuální server pro protokol HTTPS, aby připojení klientů byla šifrovaná přes protokol TLS. Vyberte profil SSL klienta, který jste vytvořili jako součást požadavků, nebo při testování ponechte výchozí nastavení.

    Screenshot for Virtual server.

Vlastnosti fondu

Karta Fond aplikací podrobně popisuje služby za BIG-IP, které jsou reprezentovány jako fond, který obsahuje jeden nebo více aplikačních serverů.

  1. Vyberte z nabídky Vybrat fond. Vytvořte nový fond nebo vyberte existující fond.

  2. Zvolte metodu vyrovnávání zatížení jako Round Robin.

  3. Pro servery fondu vyberte existující uzel nebo zadejte IP adresu a port pro server, který je hostitelem aplikace založené na hlavičce.

    Screenshot for Application pool.

Naše back-endová aplikace se nachází na portu HTTP 80, ale samozřejmě přepněte na 443, pokud je vaše https.

Hlavičky jednotného přihlašování a HTTP

Povolení jednotného přihlašování umožňuje uživatelům přistupovat k publikovaným službám BIG-IP, aniž by museli zadávat přihlašovací údaje. Průvodce snadného tlačítka podporuje autorizační hlavičky Kerberos, OAuth Bearer a HTTP pro jednotné přihlašování, z nichž druhé povolíme nakonfigurovat následující.

  • Operace záhlaví:Insert

  • Název záhlaví:upn

  • Hodnota záhlaví:%{session.saml.last.identity}

  • Operace záhlaví:Insert

  • Název záhlaví:employeeid

  • Hodnota záhlaví:%{session.saml.last.attr.name.employeeid}

    Screenshot for SSO and HTTP headers.

Poznámka:

Proměnné relace APM definované v složených závorkách rozlišují malá a velká písmena. Pokud například zadáte OrclGUID, když je název atributu Microsoft Entra definován jako orclguid, způsobí selhání mapování atributů.

Správa relací

Nastavení správy relací BIG-IP adres slouží k definování podmínek, za kterých se relace uživatelů ukončí nebo smí pokračovat, omezení pro uživatele a IP adresy a odpovídající informace o uživateli. Podrobnosti o těchto nastaveních najdete v dokumentaci F5.

Tady se ale nevztahuje na funkci SLO (Single Log-Out), která zajišťuje, že se všechny relace mezi zprostředkovatelem identity, BIG-IP a uživatelským agentem ukončí, když se uživatelé odhlásí. Když snadné tlačítko vytvoří instanci aplikace SAML ve vašem tenantovi Microsoft Entra, naplní také adresu URL odhlášení koncovým bodem SLO APM. Tímto způsobem se odhlašování iniciovalo z portálu Microsoft Entra Moje aplikace portal také ukončení relace mezi BIG-IP a klientem.

Kromě toho se z vašeho tenanta importují také metadata federace SAML pro publikovanou aplikaci, která poskytuje koncovému bodu pro odhlášení SAML pro ID Microsoft Entra. Tím se zajistí, že odhlášení iniciované aktualizací SP ukončí relaci mezi klientem a ID Microsoft Entra. Aby to ale bylo skutečně efektivní, musí APM přesně vědět, kdy se uživatel odhlásí z aplikace.

Pokud se k přístupu k publikovaným aplikacím používá portál webtop BIG-IP, služba APM by ho zpracovala, aby volala také koncový bod odhlášení Microsoft Entra. Zvažte ale scénář, kdy se nepoužívá portál webtopu BIG-IP, pak uživatel nemá žádný způsob, jak instruovat APM, aby se odhlasil. I když se uživatel odhlásí ze samotné aplikace, je pro tuto službu technicky nezapomnělý. Z tohoto důvodu proto sp iniciované odhlášení vyžaduje pečlivé zvážení, aby se zajistilo bezpečné ukončení relací, pokud už není potřeba. Jedním ze způsobů, jak toho dosáhnout, by bylo přidání funkce SLO do vašich aplikací odhlásit se, aby mohl přesměrovat klienta do koncového bodu Microsoft Entra SAML nebo BIG-IP odhlášení. Adresu URL koncového bodu pro odhlášení SAML pro vašeho tenanta najdete v koncových bodech >registrace aplikací.

Pokud v aplikaci uděláte změnu, zvažte, jestli nechcete, aby volání odhlašování aplikace naslouchala velké IP adrese a po zjištění požadavku aktivovala SLO. Pokud toho chcete dosáhnout, přečtěte si naše doprovodné materiály k programu Oracle Lidé Soft SLO. Další podrobnosti o použití iRules BIG-IP k dosažení tohoto cíle najdete v článku F5 znalostní báze Konfigurace automatického ukončení relace (odhlášení) na základě názvu souboru odkazovaného na identifikátor URI a přehled možnosti Zahrnout identifikátor URI pro odhlášení.

Shrnutí

Tento poslední krok obsahuje rozpis konfigurací. Výběrem možnosti Nasadit potvrďte všechna nastavení a ověřte, že aplikace teď existuje v seznamu podnikových aplikací.

Vaše aplikace by teď měla být publikovaná a přístupná prostřednictvím SHA, a to buď přímo přes její adresu URL, nebo prostřednictvím aplikačních portálů Microsoftu.

Další kroky

V prohlížeči se připojte k externí adrese URL aplikace nebo na portálu Microsoft MyApps vyberte ikonu aplikace. Po ověření proti Microsoft Entra ID budete přesměrováni na virtuální server BIG-IP pro aplikaci a automaticky se přihlásíte přes jednotné přihlašování.

Zobrazí se výstup vložených hlaviček zobrazených aplikací založených na hlavičkách.

Screenshot for App views.

V případě zvýšeného zabezpečení by organizace, které tento model používají, mohly také zvážit blokování veškerého přímého přístupu k aplikaci, a tím vynucení striktní cesty prostřednictvím BIG-IP adresy.

Pokročilé nasazení

V případech, kdy šablony konfigurace s asistencí nemají flexibilitu pro dosažení konkrétnějších požadavků. Informace o těchto scénářích najdete v části Pokročilá konfigurace pro jednotné přihlašování založené na hlavičkách.

Případně vám big-IP možnost zakázat režim striktní správy konfigurace s asistencí. To vám umožní ručně upravit konfigurace, i když je většina konfigurací automatizovaná prostřednictvím šablon založených na průvodci.

Můžete přejít do konfigurace s asistencí accessu > a vybrat malou ikonu visacího zámku úplně vpravo od řádku pro konfigurace aplikací.

Screenshot for Configure Easy Button - Strict Management.

V tomto okamžiku už nejsou možné změny prostřednictvím uživatelského rozhraní průvodce, ale všechny objekty BIG-IP přidružené k publikované instanci aplikace budou odemknuty pro přímou správu.

Poznámka:

Opětovné povolení přísného režimu a nasazení konfigurace přepíše všechna nastavení provedená mimo uživatelské rozhraní konfigurace s asistencí, proto doporučujeme pokročilou metodu konfigurace pro produkční služby.

Řešení problému

Přístup k aplikaci chráněné sha může být způsobený libovolným počtem faktorů. Protokolování BIG-IP může rychle izolovat nejrůznější problémy s připojením, jednotným přihlašováním, porušeními zásad nebo chybně nakonfigurovanými mapováními proměnných. Začněte řešit potíže zvýšením úrovně podrobností protokolu.

  1. Přejděte do protokolů událostí přehledu >> zásad > přístupu Nastavení.

  2. Vyberte řádek publikované aplikace a pak upravte > systémové protokoly accessu.

  3. V seznamu jednotného přihlašování vyberte Ladit a pak OK.

Reprodukujte svůj problém a pak zkontrolujte protokoly, ale nezapomeňte ho po dokončení přepnout zpět, protože podrobný režim generuje velké množství dat.

Pokud se okamžitě po úspěšném předběžném ověření Microsoft Entra zobrazí chyba typu BIG-IP, je možné, že problém souvisí s jednotným přihlašováním z Id Microsoft Entra s BIG-IP.

  1. Přejděte k sestavám accessového > přehledu>.

  2. Spuštěním sestavy za poslední hodinu zkontrolujte, jestli protokoly neobsahují nějaké informace. Odkaz Zobrazit proměnné relace pro vaši relaci vám také pomůže pochopit, jestli APM přijímá očekávané deklarace identity z ID Microsoft Entra.

Pokud nevidíte chybovou stránku BIG-IP, problém pravděpodobně souvisí s back-endovým požadavkem nebo jednotným přihlašováním z BIG-IP adresy do aplikace.

  1. V takovém případě přejděte do aktivních relací přehledu > zásad > přístupu a vyberte odkaz pro aktivní relaci.

  2. Odkaz Zobrazit proměnné v tomto umístění může také pomoct s původní příčinou problémů s jednotným přihlašováním, zejména pokud big-IP APM nedokáže získat správné atributy z Microsoft Entra ID nebo jiného zdroje.

Další informace najdete v tomto článku f5 znalostní báze Konfigurace vzdáleného ověřování LDAP pro Službu Active Directory. K dispozici je také skvělá referenční tabulka BIG-IP, která pomáhá diagnostikovat problémy související s protokolem LDAP v tomto článku znalostní báze F5 v dotazu LDAP.